La seguridad en la "nube" informática quedó "bajo la picota" por la filtración de fotos íntimas de famosas
:quality(75):max_bytes(102400)/https://assets.iprofesional.com/assets/jpg/2014/09/406789.jpg)
La filtración de decenas de fotografías de famosos en Internet puso un manto de duda la seguridad de los servicios de almacenamiento de datos en la nube, una cuestión que muchos consumidores siempre han visto con recelo.
Las imágenes de actrices como Jeniffer Lawrence posando para la cámara desnuda en fotos privadas que no estaban pensadas para que vieran la luz corrieron como la pólvora en las redes sociales para indignación de la actriz, que ha amenazado con demandar a cualquier medio que publique sus “fotografías robadas”.
¿El culpable? Una posible brecha de seguridad aún por confirmar en el sistema de iCloud de Apple, que facilita el almacenaje de datos en el mundo virtual sin ocupar espacio en la memoria real de los aparatos electrónicos.
Las imágenes fueron difundidas en un mensaje en el foro 4chan por una persona (o grupo) anónima, que aseguraba que fueron obtenidas de las cuentas de iCloud de Lawrence y otras famosas como Kate Upton y Mary Elizabeth Winstead.
Los expertos en seguridad barajan varios escenarios posibles para que los piratas informáticos tuvieran acceso libre a sus cuentas en la nube, para horror de las actrices y temor de los usuarios comunes, que en ocasiones no son conscientes de que sus datos están siendo almacenados.
Una de las opciones es que hubieran obtenido el correo electrónico de las víctimas y lograran engañar al servicio de iCloud para solicitar una contraseña nueva adivinando la pregunta de seguridad.
Otra, según indicó Jesús Molina, consultor de seguridad independiente, es que los piratas encontraran una vulnerabilidad que permitiera el acceso a su cuenta, por ejemplo a través de la aplicación “Find my iPhone” (encuentra mi teléfono), que permite el rastreo y bloqueo a distancia de un teléfono perdido o robado.
La mayoría de los servicios en línea tienen un número determinado de intentos para introducir la contraseña pero, según descubrieron recientemente dos ingenieros rusos del grupo de informático Defcon Group DCG#7812, este no era el caso de esta aplicación, algo que ya fue reparado.
Molina consideró que “no es una exageración” la desconfianza desatada entre algunos usuarios tras este incidente porque, en realidad, “no sabemos dónde van nuestros datos”.
Además que “mucha gente tiene cosas en la nube sin saberlo” ya que hay teléfonos móviles inteligentes en los que “los servicios de localización están activados por defecto”, y consideró que las compañías “juegan con nuestra vagancia e ignorancia”.
“Nos cuesta ir hasta la configuración, ver si está activado, si no está activado…”, dijo Molina, aunque consideró que este incidente “va a ayudar a la gente a que vea lo que tienen”.
Apple descartó que iCloud y “Find my iPhone” fueran pirateados para robar fotos íntimas de famosas y explicó que el ataque se produjo empleando “nombres de usuario, contraseñas y preguntas de seguridad” de las personalidades del espectáculo, “una práctica que se ha convertido en muy frecuente en internet”.
Usuarios descuidados
El equipo que analizó el incidente señaló que este tipo de incidencias ocurren por la deficiente seguridad de las cuentas de los usuarios y recomendó el establecimiento de contraseñas difíciles de descifrar y la activación del método de verificación de dos pasos.
En este sentido, coincidió en que se utilizan contraseñas “muy inseguras” pero reconoció que “es muy difícil para una persona de a pie decir: voy a usar un ‘password’ que nunca he usado antes o voy a usar uno muy complicado”.
El experto considera que como usuarios “tendríamos que implicarnos más” y leer todas las condiciones que las compañías nos presentan a la hora de bajarnos una aplicación.
Por parte de las empresas “debería de haber una forma de que pudieras saber qué datos está enviando tu teléfono, de forma fácil y sencilla. Qué estamos mandando y a qué fuente”.
En cuanto al autor o autores del ataque informático, Molina cree que lo hizo alguien que buscaba notoriedad, ya que “si hubiera vendido estas fotos a publicaciones hubiera obtenido más dinero”.
“Probablemente es un chico o un grupito de chicos que no tenía mucha idea de lo que estaban haciendo, lo consiguieron y luego no lo pensaron mucho”, añadió.
La Unión Americana de Libertades Civiles (ACLU) señaló que Apple, Google y otras grandes compañías tecnológicas deberían saber que “millones de sus usuarios usan con frecuencia” sus productos para realizar actividades “íntimas” y “sensibles”, por lo que deberían ofrecer opciones de fotos privadas para evitar que se suban a la nube.
Cómo proteger el contenido y que no se filtre
Tal como confirmó Apple en su comunicado oficial, no se trató de una brecha de seguridad en iCloud, sino de un ataque dirigido que buscaba obtener credenciales.
“Descubrimos que ciertas cuentas de celebridades fueron comprometidas por un ataque dirigido a nombres de usuario, contraseñas y preguntas de seguridad, una práctica que se ha vuelto muy común en Internet. Ninguno de los casos que hemos investigado resultó de una brecha en algún sistema de Apple, incluyendo iCloud o Find my iPhone”, señala el comunicado de la empresa californiana.
El aviso de Apple da dos consejos principales: usar contraseñas fuertes y habilitar la doble autenticación.
Pero hay algunas cuestiones a tener en cuenta al seguir esas recomendaciones. Una de ella es la fortaleza de la contraseña.
Desde la empresa de seguridad informática Eset recordaron que “muchos servicios se limitan a requerir una cantidad determinada de caracteres, alternando letras y números y utilizando mayúsculas. Pero a esta altura, ya sabemos que ‘Contraseña1234’ no es para nada segura, por más de que tenga una longitud aceptable, ya que es muy fácilmente adivinable”.
Para construir contraseñas lo suficientemente robustas que sean sencillas de recordar, y que en caso de una fuga de información no sean descubiertas, es necesario tener en cuenta un juego de probabilidades.
Por ejemplo, se pueden utilizar cuatro tipos de caracteres, recomiendan desde Eset: minúsculas, mayúsculas, números o caracteres especiales.
Para tener una contraseña segura ante un ataque de fuerza bruta, se sugiere que tenga por lo menos 10 caracteres mezclando cada uno de los cuatro tipos.
En cuanto a la doble autenticación aplicada en servicios de Apple, ésta no protege las copias de seguridad (backups). Además, no está disponible en todos los países.
Además, según informó el medio especializado Techcrunch, la doble autenticación no hubiera protegido a las celebridades de este masivo robo de fotos privadas, y tampoco protege a las cuentas que se vean comprometidas una vez que el atacante obtuvo el Apple ID del usuario.
Sin embargo, desde Eset mencionaron que la doble autenticación “sigue siendo un mecanismo de seguridad altamente recomendable y, a estas alturas, necesario en prácticamente todos los sistemas que la admitan”.
Para proteger el contenido en iCloud y servicios similares, se recomienda revisar las opciones de backup automático; chequear dónde más se suben las fotos; utilizar conexiones seguras; y pensar antes de publicar una foto, sobre todo si es “privada” o delicada.